Jump to content

Event Viewer verstehen


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo Leute,

 

ich weiss nicht so genau, ob ich hier richtig bin. Falls nicht, bitte ich dies zu entschuldigen.

System ist noch WS 2019

 

 

Ich habe letztes Jahr noch den MCSA gemacht, den es mittlerweile ja nicht mehr gibt. Leider gibt es den MCSE Security usw auch nicht mehr.

Falls doch, korrigiert mich. Das wäre großartig!

 

Meine Frage ist, ob mir 'mal jemand den Event Viewer erklären kann oder Referenzen dazu hat.

Es geht jetzt ersteinmal speziell um den RDP Login (IP whitelisted)

Ich habe zwar das System soweit abgeschottet aber habe in der Security Log sehr viele Einträge.

Task Category: Logon, Special Logon, Credential Validation, Security Group Management

Dazu sind unter "General" und "Details" genaue Infos zu sehen.

Und genau darum geht es mir. Das ist größtenteils für mich nicht zu verstehen.

 

Ich habe da in den logs Logon, special Logon und User Account Management Einträge, zu Zeiten wo nicht connected wird.

Unter "General" und "Details" stehen genauere Infos. Ich kann da auch maximal die Remote-IP rauslesen.

Da scheint Windows intern irgendetwas zu checken - vermute ich.

Aber ich will das 'mal versetehen und die Logs lesen können. Das ist schon sehr beängstigend nicht zu wissen, was da eigentlich passiert.

 

Kann mir da sonst vielleicht jemand ein gutes Buch empfehlen?

Welche Einträge sind da Relevant?

In einigen sieht man die Remote IP - in anderen nicht - ohne Kennzeichnung in der Übersicht was Remote ist und was lokal

Ich finde das alles etwas verwirrend.

Wäre schön da ein paar Infos zu bekommen

 

Schonmal dickes Danke für's lesen ;)

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Link zu diesem Kommentar

Moin,

 

Deine Frage ist nachvollziehbar, aber leider so nicht zu beantworten. Um zu verstehen, was du verstehen willst, musst du nicht den Event Viewer verstehen, sondern die jeweilige Komponente, die ihre Meldungen ins Log schreibt. Ja, das kann jeweils eine sehr große Aufgabe sein.

 

Leider wird dir faktisch nicht viel anderes übrig bleiben, als intensiv in der jeweiligen Situation zu recherchieren.

 

Gruß, Nils

Link zu diesem Kommentar
vor 15 Stunden schrieb mattisq:
 

Kann mir da sonst vielleicht jemand ein gutes Buch empfehlen?

Welche Einträge sind da Relevant?

Das nicht, aber die Dokumentation des Herstellers: https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/advanced-security-auditing-faq

Und die Relevanz der Einträge hängt davon ab, was Du versuchst festzustellen.

Ich habe schon global agierende Konzerne erlebt, wo noch nie jemand ins Security Log auf irgendeinem System geschaut hat.

Link zu diesem Kommentar
  • 4 Wochen später...
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...